为进一步规范个人信息处理活动,保护自然人合法权益,国家互联网信息办公室近日发布了个人信息保护相关政策法规的权威解读,涉及个人信息的界定、敏感信息的分类、人脸识别技术的应用管理以及保护负责人的职责等多个方面,为社会各界提供了明确的政策指引。
个人信息的准确界定是做好保护工作的基础。
根据现行法律规定,个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,但不包括经过匿名化处理后的信息。
个人信息涵盖范围广泛,包括姓名、生日、年龄等基本资料,身份证、护照等身份证件,人脸、基因、声纹等生物识别特征,账号、用户ID等网络身份标识,教育经历、职业信息等工作资料,金融账户、消费记录等财产信息,以及位置信息、运动数据、上网记录等各类行为数据。
这一全面的界定范围反映了信息社会中个人信息的多维特征,有利于提升保护的针对性和有效性。
在众多个人信息中,敏感个人信息因其特殊性需要获得更高级别的保护。
敏感个人信息是指一旦泄露或被非法使用,容易导致自然人人格尊严受到侵害或人身财产安全遭受危害的个人信息。
根据国家标准GB/T 45574-2025的规定,敏感个人信息主要包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息等类别。
其中,生物识别信息包括人脸、基因、声纹等;特定身份信息涉及残障人士身份、不适宜公开的职业身份;医疗健康信息包含病症、既往病史、医疗记录等;金融账户信息涉及银行、证券、基金、保险等各类账户及密码;行踪轨迹信息包括连续精准定位轨迹和车辆行驶轨迹。
此外,不满十四周岁未成年人的个人信息也被列为敏感个人信息,体现了对未成年人权益的特殊关照。
人脸识别技术的广泛应用带来便利的同时,也引发了新的隐私保护问题。
为规范人脸识别技术的使用,《人脸识别技术应用安全管理办法》明确要求,在应用人脸识别技术处理人脸信息前,个人信息处理者必须进行个人信息保护影响评估,并对处理情况进行记录。
影响评估由处理者组织开展,必要时可邀请第三方机构参与。
评估需要重点关注四个方面的内容:其一,人脸信息的处理目的、处理方式是否符合法律、正当、必要的原则;其二,对个人权益可能造成的影响,以及所采取的降低不利影响的措施是否有效;其三,人脸信息泄露、篡改、丢失、毁损或被非法获取、出售、使用的风险等级及可能后果;其四,所采取的保护措施是否合法、有效并与风险程度相适应。
这一系统的评估框架有助于从源头上防范人脸识别技术的滥用风险。
为建立专业化的个人信息保护机制,法律规定处理个人信息达到一定规模的个人信息处理者应当指定个人信息保护负责人。
根据《中华人民共和国个人信息保护法》第五十二条,处理个人信息达到国家网信部门规定数量的处理者需指定保护负责人;根据《个人信息保护合规审计管理办法》第十二条,处理一百万人以上个人信息的处理者应当指定保护负责人,负责个人信息保护的合规审计工作。
为规范负责人的报送工作,国家互联网信息办公室已发布了相关公告,明确了报送要求、时间和方式,相关处理者可通过"个人信息保护业务系统"进行线上报送。
这一系列政策规范的出台和解读,反映了我国个人信息保护工作的不断深化和完善。
随着数字经济的发展和信息技术的应用,个人信息的采集、使用范围不断扩大,保护工作面临新的挑战。
国家通过完善法律框架、明确标准规范、建立监管机制,逐步形成了以法律为基础、标准为支撑、监督为保障的个人信息保护体系。
同时,对个人信息处理者提出的明确要求和指导,也有助于引导企业和组织在业务发展中更加重视信息安全和隐私保护。
个人信息保护是一项面向未来的基础治理工程,既关乎每个人的安全感与尊严,也关乎数字经济的可持续竞争力。
持续释疑解惑、以制度牵引落实,以评估审计压实责任,以标准规范提升可操作性,才能在发展与安全之间找到更稳固的平衡点,让技术进步建立在看得见、守得住、管得严的规则之上。